郭一璞 發自 雲凹非寺
量子位 報道 | 公眾號 QbitAI
一款美國選舉用的投票軟件,被發現了驚天漏洞,引發全美上下高度關注,幾乎所有媒體都在報道。
這款軟件名叫Voatz,用在2018年西弗吉尼亞州的中期選舉上,另外丹佛、俄勒岡州和猶他州的選舉,選民們也用的是這款軟件。
此外2016年馬薩諸塞州民主黨代表大會和同年猶他州共和黨代表大會上上,投票也是用的Voatz。
而MIT CSAIL的研究人員發現,這款軟件不僅會洩露投票內容,甚至會操縱選民賬戶,投給其他人。
監視、中斷、修改投票
MIT的研究人員用逆向工程的方式創建了Voatz軟件的服務器模型,之後遠程訪問服務器,發現一切都看的清清楚楚,想操縱選舉的黑客可以藉助這個不安全的軟件實現三件事:
1、看到用戶具體投給了哪位候選人;
2、甚至可以中斷用戶的投票過程;
3、修改用戶的投票,讓這些被控制的用戶成為利益相關者的“水軍”,投給他們想要的候選人。
因此,一旦有人在互聯網提供商或未加密的WiFi上做手腳,用戶的軟件就會中招,而投票結果,可能就是被操縱的。
開發Voatz的軟件公司說,為了保證安全性,他們用上了區塊鏈、生物識別、基於硬件的網絡飛地(enclaves)和Mixnets。
雖然提到了區塊鏈,但研究人員說,Voatz沒有公佈任何關於這個區塊鏈如何運行的信息,也沒有公開任何源代碼或文檔。
甚至,除了投票漏洞,這款投票軟件還有隱私問題。軟件中的ID驗證問題是從外部供應商接入的,因此,一旦外部供應商出現問題,用戶的照片和駕照等身份數據就會洩露。
發現漏洞之後,MIT的研究人員迅速通告了美國國土安全部的網絡安全和基礎設施局(CISA),並和相關候選人溝通善後。
這樣看來,藉助互聯網做選舉這樣重要的事情,目前還無法保證完全安全。
作者建議此類軟件開源
這項發現的三位作者,均來自MIT CSAIL。
一作和二作都是在讀博士生。一作Mike Specter,研究系統安全、密碼學和公共策略的交集,也是谷歌的研究員,在Android安全和隱私團隊工作。
二作James Koppel,目前在CSAIL下面的計算機輔助編程團隊,一路從CMU本科讀到MIT碩士再到博士,曾獲無數獎金,還開了兩家公司,也曾是一名ACM-ICPC總決賽選手。
對於這項關於投票軟件的研究,Koppel建議,像Voatz這樣的選舉投票軟件,其代碼和架構應該是開源的,這樣才能保證選舉的高度透明性。
三作是MIT CSAIL首席科學家、互聯網政策研究項目主任Daniel Weitzner,他在MIT教互聯網公共政策等課程,是互聯網政策領域影響力巨大的專家。奧巴馬當政時期,他也曾在白宮擔任美國副CTO,這個職位也是總統幕僚之一。
傳送門
如果想了解研究細節,歡迎查看三位研究者的論文:
The Ballot is Busted Before the Blockchain: A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections
https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf
— 完 —
量子位 QbitAI · 頭條號簽約作者
關注我們,第一時間獲知前沿科技動態
閱讀更多 量子位 的文章
